Copy

 

 


WVO Nieuwsbrief              
Nummer 2
Februari 2017

 

 

 

Eén jaar datalekken: wat hebben we geleerd?!

 

 


In onze maandelijkse nieuwsbrief van december 2015 berichtten wij al over de inwerkingtreding van de Wet meldplicht datalekken per 1 januari 2016. Deze meldplicht brengt met zich mee dat een organisatie bij een ernstig datalek dit verplicht aan de Autoriteit Persoonsgegevens (AP) moet melden. Een datalek kan bijvoorbeeld een kwijtgeraakte USB-stick, een gestolen laptop of een inbreuk door een hacker zijn.

Tegelijkertijd heeft de AP de mogelijkheid gekregen om boetes op te leggen. Bijvoorbeeld wegens:

 
  • Het niet melden van een datalek, terwijl dat wel had gemoeten;

  • Het niet op orde hebben van de beveiliging;

  • Het verwerken van persoonsgegevens zonder toestemming;

  • Export van persoonsgegevens naar landen buiten de EU, zonder dat goed geregeld te hebben.


Welke conclusies kunnen we een jaar later trekken? Weet u als organisatie waar u nu precies aan moet voldoen? En hoe zit het nu met de afschrikwekkende boetes van (maximaal) € 820.000,-? In deze nieuwsbrief geven wij antwoord op deze vragen en helpen wij u(w organisatie) verder!

Eén jaar datalekken: ‘facts & figures 2016’
Sinds de inwerkingtreding van de meldplicht zijn de uitwerkingen hiervan regelmatig in het nieuws. Recent haalde de Belastingdienst bijvoorbeeld de voorpagina’s; gegevens van maar liefst 11 miljoen belastingbetalers en 2 miljoen bedrijven zouden mogelijk op staat zijn beland door een beveiligingslek. En ook het Kadaster zou kampen met beveiligingsproblemen en datalekken.

Bij de AP, de instantie waar datalekken gemeld moeten worden zijn over de periode van 1 januari 2016 tot en met 15 december 2016 bijna 5.500 datalekken gemeld. Uit de
factsheet van de AP volgt dat de regelmatig voorkomende datalekken zijn:

 
  • Een klant die in een klantportaal de gegevens van iemand anders ziet;

  • Er wordt een USB-stick of andere gegevensdrager kwijtgeraakt, waarop persoonsgegevens staan (die vaak niet versleuteld zijn);

  • Een laptop of smartphone waar persoonsgegevens op staan wordt gestolen;

  • Een poststuk met persoonsgegevens komt niet aan bij de ontvanger, of komt geopend terug;

  • Een e-mail met persoonsgegevens komt bij de verkeerde ontvanger terecht.


Het aantal mensen -in de Wet meldplicht datalekken ‘betrokkenen’ genoemd- dat hierdoor werd geraakt, varieert per melding van één persoon tot en met in bepaalde gevallen honderdduizenden personen. De top drie van sectoren waarin de meeste meldingen plaatsvonden zijn ‘gezondheid en welzijn’ (29%), ‘financiële dienstverlening’ (17%) en ‘openbaar bestuur’ (15%). De AP wijt dit aan het feit dat in deze sectoren veel persoonsgegevens worden verwerkt, die bovendien vaak als ‘bijzondere persoonsgegevens’ zijn aan te merken, waardoor een datalek in deze sectoren in veel gevallen ook verplicht gemeld moeten worden.

Nog geen boetes opgelegd
De AP kan naar aanleiding van een gemeld datalek verschillende acties ondernemen. Zo kan bijvoorbeeld contact worden opgenomen met een organisatie om de informatie in een melding te verifiëren en zo nodig aan te vullen. Verder kan (een eerste of nader) onderzoek worden ingesteld en zo nodig worden overgegaan tot handhaving. De AP kan bijvoorbeeld bestuursdwang toepassen, of een last onder dwangsom of een bestuurlijke boete opleggen. Van de 5.500 meldingen is in 4.000 gevallen een eerste onderzoek gedaan. 100 organisaties hebben naar aanleiding hiervan een waarschuwing van de AP gekregen. In enkele tientallen gevallen zou sprake zijn van een diepgaander onderzoek door de AP. Tot nu toe is er nog geen enkele boete door de AP opgelegd.

 

Stappenplan melding
De meldplicht houdt in dat organisaties onverwijld een melding moeten doen bij de AP zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). In de Beleidsregels voor toepassing van de meldplicht is uiteengezet in welke gevallen een melding moet worden gedaan en hoe die melding eruit moet zien.

Datalek
Er is slechts sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Een beveiligingsincident is bijvoorbeeld het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als de onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kan worden uitgesloten.

Melden aan de Autoriteit Persoonsgegevens
Niet ieder datalek hoeft aan de AP te worden gemeld. Er moet alleen een melding worden gedaan als het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Als persoonsgegevens van gevoelige aard (denk bijvoorbeeld aan gezondheidsgegevens) zijn gelekt, dan is over het algemeen een melding noodzakelijk.

Onverwijlde melding
De melding dient zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek te worden gedaan. Op de website van de AP is een zogenaamd
meldloket, waar de melding digitaal kan worden gedaan en waar een bestaande melding kan worden aangepast of ingetrokken. Bij de melding dient een aantal gegevens te worden ingevuld aan de hand van een vragenlijst met 28 vragen. De vragen zijn als Bijlage 1 bij de Beleidsregels opgenomen.

Als de conclusie is dat een datalek moet worden gemeld aan de AP, dan betekent dit niet automatisch dat het datalek ook moet worden gemeld aan de betrokkene(n). Daarvoor moet een aparte afweging worden gemaakt. Informeren van betrokkene(n) moet als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de ‘persoonlijke levenssfeer’ van de betrokkene(n). Daarbij kan bijvoorbeeld gedacht worden aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kan er in principe vanuit worden gegaan dat u het datalek niet alleen aan de AP, maar ook aan de betrokkene(n) moet worden gemeld.

Let op: de beoordeling is aan u!

Of een datalek gemeld moet worden aan de AP en aan de betrokkene(n), ligt altijd bij de organisatie. Wordt echter een onjuiste inschatting gemaakt en daardoor ten onrechte niet gemeld, dan is de organisatie daarvoor verantwoordelijk en kan dat leiden tot maatregelen van de AP. Tot nu toe blijkt in de praktijk dat de soep nog niet zo heet gegeten wordt, maar dat is geen garantie voor de toekomst.


Tips

  • Als organisatie raak je in veel gevallen pas op de hoogte van een datalek, als een medewerker daarvan melding maakt. Hoe weet je anders immers of een e-mail naar een verkeerd e-mailadres is verstuurd, of een USB-stick is kwijtgeraakt. Het is daarom verstandig om een ‘protocol datalekken’ op te stellen en daarin bijvoorbeeld een bepaling op te nemen die ziet op de omgang met persoonsgegevens door medewerkers. Zorg ook dat de medewerkers bekend zijn met het protocol en dat het protocol op de arbeidsrelatie van toepassing wordt verklaard.

  • Hanteer naast een interne procedure voor de omgang met en melding van datalekken ook een externe procedure: een draaiboek met daarin een ‘procedure melden datalekken’ zorgt er in voorkomend geval voor dat u bij een datalek in ieder geval de regie kunt houden en de juiste beslissing kunt maken of het datalek bij de AP en eventueel aan betrokkene(n) gemeld moet worden.

  • Als externe partijen gegevens verwerken moet met deze partijen een overeenkomst worden gesloten. Doorgaans worden de afspraken vastgelegd in een bewerkersovereenkomst. De AP stelt hier specifieke eisen aan. Bijvoorbeeld over de beveiliging. Zorg ervoor dat de (bewerkers)overeenkomst aan de gestelde eisen voldoet.

 

Tot slot
Privacy en de bescherming van persoonsgegevens is op dit moment een big deal en dat zal alleen nog maar toenemen. Zeker nu de Algemene verordening gegevensbescherming (AVG) is vastgesteld en met ingang van 25 mei 2018 een groot deel van de nationale wetgevingen op het gebied van gegevensbescherming zal vervangen. De AVG introduceert bijvoorbeeld ‘het recht op vergetelheid’ en bevat uitgebreide nieuwe verplichtingen voor het bedrijfsleven, heeft volop aandacht voor de rol van de ‘functionaris gegevensbescherming’ en kent enorme boetes die opgelegd kunnen worden bij niet-naleving, tot € 20.000.000,- of 4% van de jaarlijkse wereldwijde omzet van een onderneming.
Het is dus verstandig om van bewustwording over te gaan tot actie. Zorg dat de bewerkersovereenkomsten en het draaiboek met daarin een procedure voor datalekken tijdig op orde zijn!

 

 

 

 


Laatste nieuws

 

 

31 januari 2017

Het Gerechtshof ’s-Hertogenbosch oordeelde dat de werkgever terecht een loonstop heeft opgelegd aan werkneemster. Van een arbeidsongeschikte werknemer mag in beginsel verlangd worden in gesprek te gaan en te blijven met de werkgever. Immers, zonder communicatie zal het voor de werkgever welhaast onmogelijk zijn om de re-integratie van de werknemer in (andere) passende arbeid te bevorderen, waartoe de werkgever verplicht is op grond van artikel 7:658a BW.

 

24 januari 2017
Recent oordeelde het Gerechtshof Arnhem-Leeuwarden over een kwestie waarin de werknemer de werkgever aansprakelijk had gesteld wegens een bedrijfsongeval. Tot de werkzaamheden van de werknemer behoorde het dagelijks opnemen van de watermeter voor de fabriek, die zich in een betonnen put van 62 centimeter diep bevond. Op 18 maart 2009 heeft de werknemer zich bij het uit de put stappen verstapt waarna hij ten val is gekomen. Het Hof oordeelde dat geen sprake was van een zogenoemd huis-, tuin- en keukenongeval en dat van een ongelukkige samenloop van omstandigheden is evenmin sprake was. De werkgever heeft een gevaarlijke arbeidssituatie gecreëerd en van haar mochten derhalve maatregelen worden verwacht om de verwezenlijking van het gevaar te voorkomen.

 

19 januari 2017
Het Gerechtshof Arnhem-Leeuwarden heeft in een ontbindingszaak de beslissing van de kantonrechter dat sprake was van een verstoorde arbeidsrelatie in stand gelaten. Uit het samenstel van de aangehaalde verslagen van beoordelings- en ontwikkelingsgesprekken, de uitdrukkelijke waarschuwingen aan het adres van werknemer, de reacties van werknemer daarop en zijn overige schriftelijke communicatie met leidinggevenden en p&o, blijkt volgens het Hof voldoende dat de arbeidsrelatie ernstig en duurzaam verstoord is geraakt door de houding en het gedrag van werknemer. Aan het feit dat de werknemer vond dat hij nog goed zou kunnen samenwerken met collega’s op andere afdelingen, wordt voorbij gegaan: een werkgever hoeft zich niet te laten welgevallen dat zijn gezag niet wordt geaccepteerd en beoordelingen over enige jaren zonder goede grond in twijfel worden getrokken.










Op de hoogte blijven van juridische nieuwtjes en de ontwikkelingen binnen en buiten ons kantoor? Volg WVO Advocaten op

 

Copyright © 2017  WVO Advocaten

Ons e-mailadres is:
info@wvo-advocaten.nl

Uw voorkeur voor onze nieuwsbrief aanpassen?

update your preferences of unsubscribe from this list
 






This email was sent to <<Email Address>>
why did I get this?    unsubscribe from this list    update subscription preferences
WVO Advocaten · Hoofdweg 72 · Loenen, Gelderland 7371 AK · Netherlands

Email Marketing Powered by Mailchimp